是否有禁用硬件辅助虚拟化的充分理由？

25

最近，我们有许多戴尔的服务器，所有这些服务器的BIOS中都禁用了硬件辅助虚拟化。

据我所知，硬件辅助虚拟化是一件好事-那么戴尔为什么要禁用它呢？如果计算机不充当虚拟机主机，是否会有性能开销？有安全性问题吗？

如果与您的答案有关，我们将主要使用：

主机操作系统：Windows Server 2003 Enterprise R2（32位）
来宾操作系统：Windows Server 2003 Enterprise R2（32位）
VMM：Virtual Server 2005企业R2 SP1

— 汤姆·罗宾逊
source

我在戴尔笔记本电脑上也看到了这一点

— 理查德·埃弗里特（Everett）2009年

前几天，我发布了一些有关HP刀片服务器的类似信息-我也看不出来为什么他们也将其禁用为默认设置-真是令人讨厌！

— Chopper3

您可以添加链接吗？搜索时找不到类似的问题。

— 汤姆·罗宾逊

这是一个很好的问题serverfault.com/questions/23518/...

— 卡拉Marfia

3

主动禁用复杂的系统/功能有一个普遍的原因：解决错误。在这种特殊情况下，我知道至少有一个这样的错误。请参阅“ AMD系列15h型号00h-0Fh处理器的修订指南”中的问题734。

— ndemou 2014年

16

戴尔（和索尼等）禁用Intel-VT和AMD-V的原因是他们不支持它。启用该功能将意味着他们将不得不为其提供支持，而这主要是由于支持中心的知识不足而无法提供的。

至少，这就是索尼制定的方式。

我试图从索尼支持人员那里找出原因，这是他们唯一会给我的。我终于能够修补我的BIOS并自己启用VT。

至于其他，Bluepill之类的东西并不是完全主流。而据我所知-我的工作与虚拟化的东西一个不少 -有没有缺点启用它。如果有的话，我真的很想知道...

— zz
source

起初，我对此回应表示怀疑。我知道这篇文章非常老，但是我正在做一些研究，这实际上是我在Google上发现的第一件事。实际上这是100％正确的，因为这是一个支持问题。大多数人（到现在为止）将不必修补BIOS。供应商通常销售服务器和客户端设备，目的是安装本机OS，而不是Hypervisor。因此，它们禁用VT / VTx，以避免它们可能在理论上引起一些奇怪的问题。更具体地说，供应商不想花时间测试他们不支持的功能。

— IceMage 2014年

10

一个很好的理由是安全性。已知的黑客会在您的操作系统和硬件之间插入恶意的管理程序。这样，任何人都可以以完全透明的方式捕获任何数据。

— 安托万·本克穆恩
source

2

您正在考虑诸如BluePill之类的rootkit。尽管我没有对此进行详细研究，但我认为这些天不再是一个大问题。我可能是错的，我猜你可以查一下。无论哪种方式都很好，绝对是要考虑的事情，如果没有使用它，有足够的理由禁用它。

— HannesFostie

2

以下是关于BluePill一些信息- ）en.wikipedia.org/wiki/Blue_Pill_(malware

— 汤姆·罗宾逊

1

@Anapologetos，实际上不是，这不是先决条件。蓝色药丸将正在运行的操作系统捕获在虚拟机中。可以这么说，它将自己插入OS的下面。它成为管理程序，而不是一个。除此之外，据维基百科称，它仅针对Vista，但我认为该概念可以轻松移植。毕竟是虚拟化。无论如何，由于Blue Pill而不启用VT似乎很愚蠢：据我所知，它并没有泛滥（尽管它是开源的），并且它的不可检测性也受到了争议。

— wzzrd 2009年

你是对的，wzzrd。我取消了评论-今天早上我还没有喝咖啡！:)

— 乔什·布劳

6

我可能会猜测，对于给定的主板和BIOS组合，并非所有可用的CPU都支持VT扩展。因此，出于兼容性考虑，他们在BIOS中将其禁用。

时代在变，VT现在正变得越来越普遍。所以也许我们会看到变化？

— 丹·卡利
source

3

我在The Register上找到了这个：

索尼的工程师和质量检查人员表示：“非常担心启用VT会使我们的系统暴露于恶意代码中，这些恶意代码可能会深入到PC的操作系统结构中并完全禁用后者。”

— 汤姆·罗宾逊
source

这不是公认的答案吗？哦，这句话属于Sony。……

— Pacerier

2

根据您打算使用的虚拟化方法，可能不需要在支持Intel-VT和AMD-V的CPU中启用硬件虚拟化功能。当您需要使用这些功能时，就是在安装未修改的操作系统（通常是Microsoft Windows）时无法使用虚拟化方法的情况。

使用VMware时，通常不需要由Intel-VT和AMD-V芯片组添加的硬件虚拟化功能，因为VMware自身提供了所有必需的功能，并且可能导致虚拟服务器本身的性能下降。

如果打算在非特权来宾域（domU）中运行Windows并使用完全虚拟化而不是半虚拟化安装，则使用Xen虚拟化将需要使用这些功能。以我的经验，必须启用这些功能可能会整体上显着降低性能，但这将允许您安装Windows。其他操作系统，例如Linux，* BSD和OpenSolaris，在没有硬件虚拟化的情况下安装也没有问题，并且在禁用硬件虚拟化功能时会看到更好的改进。

最后，归结为您计划采取的虚拟化路径以及所看到的安装的操作系统，这些因素可能是决定使其禁用还是继续启用它的决定因素。

— 杰里米·布斯（Jeremy Bouse）
source

他没有采取任何虚拟化方法，有点错过了他的问题的重点

— HannesFostie

2

通过使用Dell服务器支持，默认情况下，所有支持VT的服务器的BIOS中均禁用了该功能，但是如果需要，可以轻松启用它。

至于索尼-由于上述原因，他们已经在笔记本电脑中禁用了它。

我从未见过完全禁用VT / SVM功能的服务器，以至于您无法启用它。

— dyasny
source

1

我可能会落后于时代，但是在很多情况下，像VMWare这样的事情实际上会使很多事情变慢：

关于此主题的VMWare白皮书

— 凯尔·勃兰特（Kyle Brandt）
source

那不是2006年的白皮书吗？此外，从乍一看，它还讨论了实际虚拟化环境时的问题。原始海报将仅在其上运行本机工作负载。

— HannesFostie

通过VirtualBox注意到，如果禁用了硬件虚拟化，则某些OS的运行速度会更快。当然，启用它后，其他人的运行速度会更快！:-)

— Brian Knoblauch

并不是说激活VT会使事情变慢，而是说他们的非VT虚拟化要比依赖于VT的新虚拟化要快。

— 哈维尔2009年

1

如上文wzzrd所述，这完全与支持有关。取消使用VT可以减少其中VT成为重要因素的支持方案的数量，从而为尚未冒险采用虚拟化路线的大多数客户提供更快的问题解决方案。

我注意到的一件事是，在Windows 7中，当我的Dell上启用了VT时，运行xp模式beta会导致与vmware工作站发生冲突。两者都希望“掌握” VT扩展，并且由于xp模式使VPC进程即使退出也仍在运行，所以它不会“放开” VT。因此，当您启动vmware时，您尝试运行的任何虚拟机都会在启动时死亡。在BIOS中禁用VT扩展可以防止这种情况的发生，但是会显着降低性能。

这是一个很奇怪的论点。抱怨它被关闭的人们打来的电话怎么样？

— niXar

0

启用Intel VT会使CPU变热，我有台式机和笔记本电脑都具有这种行为，并且都带有备用CPU散热器。我指的是家用计算机，但这是相同的功能。

我知道AMD-V是默认启用的，但我不知道它是否会使CPU变热。

— 安德烈·西尔维（Andrei Silviu）Canghizer
source

我怀疑那是真的。我看不出任何原因导致相同的工作负载在功耗上是否有可测量的差异，具体取决于是否启用了VT。某些软件的行为将取决于是否启用了VT，并且当然会改变CPU上的工作负载并导致温度变化。但是不能责怪VT，除非可以提供非常有力的证据。

— kasperd '16

-1

我敢肯定，仅在运行本机OS时，硬件辅助虚拟化不会有任何开销。

我能够禁用它的唯一原因（实际上，我之前从未考虑过）是，由于启用了HAV，因此某些应用程序/工作负载实际上在运行时可能会比在本地运行时运行得更糟例如在MMU中。

我完全不用担心。

— 汉尼斯·福斯蒂
source

Antoine Benkemoun提出了非常好的观点，请也阅读他的帖子。

— HannesFostie

-2

只需看看Hewlett Packard Proliant DL145 G3-服务器。

HP通过BIOS禁用了HyperVisor（HV）。BIOS菜单没有显示启用此功能的选项。关于此问题的唯一答案是“此平台不支持硬件虚拟化-讨论结束”

使用HP提供的BIOS来启用HV根本是不可能的。

唯一的解决方案：Coreboot ...即完全清除该板上的PHOENIX-BIOS，并用其他替换它...

— 威尼娅
source

1

-1问题不是关于BIOS中完全不提供HV的系统。这是关于即使可用的原因，其出厂禁用的原因。

— sleske，2012年